VLAN – Virtuální LAN sítě a jejich využití

VLAN – Virtuální LAN sítě a jejich využití

Víte, jaké využití nabízí virtuální lokální sítě (VLAN) a jak můžete s jejich pomocí organizovat L2 sítě?

Historie VLAN sítí

Virtuální lokální sítě vděčí za svůj vznik Davidu Sincoskieovi. Tento vědec řešil problém spojení dvou ethernetových sítí. Jedna síť se, po úspěšném zprovoznění VoIP, měla starat o telefony a druhá o data. Druhá síť se měla kromě dat starat také o to, aby díky broadcastu, kterým komunikují zařízení v L2 síti, nedocházelo k velkému zatěžování na úkor jednoho nebo druhého (samotná data vs. jejich průtok).

Problém se zatěžováním sítě mohl být vyřešen pomocí routování mezi jednotlivými sítěmi, avšak toto řešení by nebylo dostatečně rychlé. Sincoskie proto začal využívat v té době nové switche . Aby vše mohlo fungovat jako individuální sítě, musel vyřešit problém s detekováním těchto sítí na bázi jednotlivých rámců dat. Řešením bylo, že se do hlavičky každého rámce, která obsahuje MAC adresy zdroje a cíle, plus další informace, přidala další položka, tzv. tag VLAN sítě. V obdobném stavu fungují virtuální sítě dodnes.

Využití VLAN sítí

Firemní vnitřní sítě jsou různých velikostí, a proto je z organizačních důvodů výhodné některé skutečně velké systémy rozdělit na podjednotky. Data, která vnitřními sítěmi protékají, jsou rozdílná, co do obsahu, tak do rozsahu, v jakém se mohou dostat do firemního prostoru. Což je další důvod, proč je vždy dobré naplánovat rozdělení sítě do několika celků. Dále jde i o finanční důvody – routery  jsou zpravidla dražší a mají méně portů než switche .

L3 switch od společnosti Cisco - použití switchů je levnější než použití routerů

Jednotlivé sítě mohou být vytvořeny například na základě jednotlivých budov nebo poboček. Podle funkčnosti je můžete dělit například na sítě kamerové, telefonní, sítě pro návštěvníky a na sítě pro separování jednotlivých zaměstnanců do skupin podle pracovního zařazení.

Nastavení

Během nastavení VLAN sítí máte celou řadu možností, jak strukturu sítě vymyslet. K funkčnímu nastavení je potřeba jeden router , nebo L3 switch  (switch musí být schopen překlápět komunikaci mezi jednotlivými VLAN sítěmi), a alespoň jeden switch . Nejjednodušší možnost je nastavit přístup do VLAN na jednotlivé porty. Pokud bude uživatel komunikovat směrem do sítě, každý datový rámec, který odejde z portu na switche, ke kterému je připojen, odejde s hlavičkou obsahující tag s číslem VLAN sítě, do které je přiřazen. S tímto tagem je poslán celou sítí a je odebrán, až když z vnitřní sítě vystupuje, nebo před tím než dorazí do cíle v rámci sítě, například na server.

Takto upravený rámec je poté snadné v rámci nastavení někam směrovat, nebo mu naopak zakázat přístup do některé z podsítí. VLAN sítě jsou mezi jednotlivými switchi přeposílány pomocí takzvaného trunku. Trunk funguje jako tunel natažený mezi porty na různých switchích, přes které mohou procházet buď jen vybrané VLAN sítě, nebo všechny, záleží na nastavení.

Mezi VLAN sítě můžete rozdělit jednotlivé porty na switchích

Zajištění bezpečnosti a zároveň zajištění přístupu zaměstnanců do svých VLAN v rámci jejich přesouvání, ať již v rámci budovy nebo poboček, může být provedeno například pomocí RADIUS serveru. Tento server po ověření zařadí uživatele do VLAN sítě, která mu přísluší, kdekoliv v rámci infrastruktury organizace.

Nastavení pro CCTV

V předchozím článku jsme se již věnovali nastavení kamerových systémů. V rámci nastavení je vhodné oddělit stream z kamer do jiných VLAN, než ve kterých dochází k datovým komunikacím. Příkladem nám může být výrobce kamerových systémů Pelco, který toto nastavení přímo doporučuje ve svých manuálech. Oddělení streamu ve své dokumentaci demonstruje na použití tří VLAN sítí, kdy první (VLAN 3) slouží k zařazení kamer, enkodérů, a úložišť. Tato kamerová VLAN síť nemusí být jedna, může jich být víc a opět tyto VLAN sítě mohou být rozděleny do podstítí, např. podle budov.

Druhá VLAN (VLAN 4) síť obsahuje klienty a dekodéry. Třetí (VLAN 2) je určena pro management zařízení, v případě společnosti Pelco se jedná o systém Endura. Při tomto nastavení (dle společnosti Pelco) můžete dobře využívat bandwidth (šířku pásma) vaší sítě, který, jak je tomu právě u kamerových systémů, by byl jinak zbytečně zatěžován multicastem především tam, kde jej nepotřebujete.

Příklad oddělení streamu z kamer pomocí VLAN sítí dle návodu společnosti Pelco

Díky rozdělení VLAN sítí a následným nastavením pravidel můžete omezit přístup určitých uživatelů ke kamerovým záběrům a tím tak snížit riziko úniku citlivých informací.

Chcete se dozvědět více o VLAN sítích? Kontaktujte nás, rádi vaše dotazy zodpovíme.

Chcete být informováni o zajímavostech a novinkách v oboru bezpečnostních technologií? S naším newsletterem vám nic neunikne.

Mohlo by vás zajímat:

Multicast v CCTV
Multicast je typ datové komunikace, který je velmi výhodný pro přenos médií, jako je audio a video. Tento druh komunikace patří v CCTV mezi nejdůležitější. Víte, proč tomu tak je?

Aktivní síťové prvky - 1. část
Připravili jsme pro vás dvojdílný seriál o základním rozdělení aktivních prvků datové sítě. Ukážeme vám, jak se postupně jednotlivé prvky vyvíjely, k čemu se daná zařízení dají využít a v čem se příležitostně prolínají. V prvním díle se zaměříme na huby, bridge a switche.

Aktivní síťové prvky - 2. část
V této části seriálu se zaměříme na základním rozdělení aktivních prvků datové sítě a seznámíme vás s úlohou routerů při propojování sítí.

Recenze / technika, uloženo 4.2.2016, vytisknout článek

Hodnotit článek: Líbí 8 ((nelibi)) 1
Sdílet článek: |

Vložit příspěvek

Pole označená hvězdičkou jsou povinná.




Autor článku

Václav Prokopec

E-mail: vaclav.prokopec[zavinac]abbas.cz

Další články autora

Zastupujeme značky

2N telekomunikace | adpro | allied telesis | artec group | assa abloy | axemax | axis | bosch | c4 | cias | comelit | dahua | digifort | dominus | esser | flir | fujitsu | genetec | ids | ksenia | matrix cosec | metel | paxton | pelco | perco | protectowire | rangevision | rosslare | sbi | sorhea | tritón | tyco | ubiquiti networks | uEye | v-alert | verint | videor | videotec | zettler | zk finger

Sdílet stránku |

Vyrobila Omega Design

 
Při poskytování našich služeb nám pomáhají soubory cookie. Využíváním našich služeb s jejich používáním souhlasíte. Další informace Rozumím